bUrPTest de privacidad en navegadores
A raíz de un post en Twitter, he descubierto una página muy interesante: PrivacyTests, donde de forma mensual, se realiza una batería de test sobre la la privacidad que ofrecen -o dejan de ofrecer- buena parte de los navegadores web más utilizados. Los resultados son más o menos los esperados:Chrome es un chiste, aún en modo “privado”.Edge es un chiste, aún en modo “privado”.Safari aguanta el tipo.Firefox muy bien, salvo en el tracking.La sorpresa, al menos en mi caso, proviene de dos navegad...
bUrPTodas en una: Element One
El para algunos viejo sueño -no es mi caso- de poder aunar WhatsApp, Signal y Telegram en una sola aplicación, ha visto por fin la luz de forma comercial de la mano de Element One. Basándose en la conocida implementación de Matrix; “Matrix es un estándar abierto para comunicaciones interoperables, descentralizadas y en tiempo real a través de IP. Se puede utilizar para potenciar la mensajería instantánea, la señalización de VoIP / WebRTC, la comunicación de Internet de las cosas, o en cualqui...
bUrPNavegadores Android: Brave vs Vivaldi y Firefox
Como comenté en la entrada Test de privacidad en navegadores, me acabo de descargar la versión Android de Brave y me he puesto a testearla en lo que yo personalmente, considero más importante. Tengo que decir que la idea original, era comprobar si Brave podía reemplazar a Vivaldi como navegador principal y a Firefox como navegador seguro o incluso a ambos. Spoiler: No puede. ¿Qué le falla a mi gusto para reemplazar a Vivaldi?No tiene traductor ni posibilidad de añadirlo.No hay forma de añadir...
Android ¬ Hard&Soft ¬ Redes ¬ Domótica ¬ Podcast y Opinión . +++ https://Burp.es +++
bUrPTest de privacidad en navegadores
A raíz de un post en Twitter, he descubierto una página muy interesante: PrivacyTests, donde de forma mensual, se realiza una batería de test sobre la la privacidad que ofrecen -o dejan de ofrecer- buena parte de los navegadores web más utilizados. Los resultados son más o menos los esperados:Chrome es un chiste, aún en modo “privado”.Edge es un chiste, aún en modo “privado”.Safari aguanta el tipo.Firefox muy bien, salvo en el tracking.La sorpresa, al menos en mi caso, proviene de dos navegad...
bUrPTodas en una: Element One
El para algunos viejo sueño -no es mi caso- de poder aunar WhatsApp, Signal y Telegram en una sola aplicación, ha visto por fin la luz de forma comercial de la mano de Element One. Basándose en la conocida implementación de Matrix; “Matrix es un estándar abierto para comunicaciones interoperables, descentralizadas y en tiempo real a través de IP. Se puede utilizar para potenciar la mensajería instantánea, la señalización de VoIP / WebRTC, la comunicación de Internet de las cosas, o en cualqui...
bUrPNavegadores Android: Brave vs Vivaldi y Firefox
Como comenté en la entrada Test de privacidad en navegadores, me acabo de descargar la versión Android de Brave y me he puesto a testearla en lo que yo personalmente, considero más importante. Tengo que decir que la idea original, era comprobar si Brave podía reemplazar a Vivaldi como navegador principal y a Firefox como navegador seguro o incluso a ambos. Spoiler: No puede. ¿Qué le falla a mi gusto para reemplazar a Vivaldi?No tiene traductor ni posibilidad de añadirlo.No hay forma de añadir...
Android ¬ Hard&Soft ¬ Redes ¬ Domótica ¬ Podcast y Opinión . +++ https://Burp.es +++
Subscribe to bUrP
Subscribe to bUrP
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
2FA (Autenticación de dos factores) o Verificación en dos pasos, es un intento por aumentar la seguridad en el uso de aplicaciones, cuentas de correo, cuentas de usuario, etcétera. De hecho, es muy probable que ya estés usando algún tipo de 2FA aún sin tener claro del todo en qué consiste.
La cuestión es que desde el anuncio por parte de Google de imponer de forma obligatoria la 2FA para acceder a sus servicios, el tema ha vuelto a ganar relevancia. Y por tanto, no viene mal tener claro algunos conceptos básicos.
El fundamento se basa en:
Algo que el usuario **sabe **(una contraseña, número de identificación personal (código PIN) o respuesta a una pregunta secreta)
Algo que el usuario **tiene **(un token, un teléfono móvil, un USB)
Algo que el usuario **es **(reconocimiento de rostro o voz, biometría de comportamiento, huella digital, retina o escaneo del iris)
Por ejemplo; cuando realizas una operación bancaria y tu entidad te envía un código SMS que has de introducir para validarla, estás llevando a cabo una 2FA. Lo mismo si dicho código SMS es para acceder a tu correo electrónico, a tu cuenta de Amazon, etcétera.
De hecho, la 2FA mediante SMS es la más utilizada en la mayoría de casos, lo que puede llevar a situaciones surrealistas:
Activas 2FA para acceder a tu cuenta de correo y lo haces desde el móvil.
Te llega un SMS al móvil con el código a introducir.
Pulsas sobre él y automáticamente lo añade y valida el ingreso a tu correo.
Todo el proceso tiene lugar desde un único terminal y sin protección de por medio. Pulsando sobre el mismo SMS ya te valida de forma inmediata.
Otro caso:
Activas 2FA para acceder a tu cuenta de correo y lo haces desde el Pc.
Te llega un SMS al móvil con el código a introducir.
Tú móvil no tiene cobertura o batería, está apagado, no lo encuentras…
NO puedes acceder.
Dicho esto, además de todos los problemas de seguridad que comporta, el uso de SMS es una alternativa a descartar de inmediato.
¿Qué hacemos entonces?
Pues seguir la recomendación de todos aquellos involucrados de alguna manera en el uso de 2FA: Aplicaciones de autentificación.
Aquí la cosa sube de nivel, tanto por tipo de protección, mecanismo utilizado y la abundante oferta de aplicaciones.
A grosso modo el funcionamiento básico es el siguiente:
Instalas la aplicación 2FA y añades las cuentas, servicios, webs, etcétera que desees segurizar.
Accede a alguna de tus cuentas, en ese momento te dirá que abras la aplicación (o lo hará de forma automática) y que bien, introduzcas el código (token) que acaba de generar o que valides mediante algún factor biométrico (huella, voz o rostro).
Vuelves al servicio, el cual ya debe estar accesible.
Obviamente, es un sistema muchísimo más confiable que el SMS, aunque seguimos atados al teléfono móvil.
Dentro de las aplicaciones de autentificación encontraremos bastantes diferencias entre ellas, en función de:
La forma de gestionar los tokens.
Para un solo dispositivo o varios.
Propietarias u Open Source.
Comentaremos algunas de ellas en una próxima entrada.
2FA (Autenticación de dos factores) o Verificación en dos pasos, es un intento por aumentar la seguridad en el uso de aplicaciones, cuentas de correo, cuentas de usuario, etcétera. De hecho, es muy probable que ya estés usando algún tipo de 2FA aún sin tener claro del todo en qué consiste.
La cuestión es que desde el anuncio por parte de Google de imponer de forma obligatoria la 2FA para acceder a sus servicios, el tema ha vuelto a ganar relevancia. Y por tanto, no viene mal tener claro algunos conceptos básicos.
El fundamento se basa en:
Algo que el usuario **sabe **(una contraseña, número de identificación personal (código PIN) o respuesta a una pregunta secreta)
Algo que el usuario **tiene **(un token, un teléfono móvil, un USB)
Algo que el usuario **es **(reconocimiento de rostro o voz, biometría de comportamiento, huella digital, retina o escaneo del iris)
Por ejemplo; cuando realizas una operación bancaria y tu entidad te envía un código SMS que has de introducir para validarla, estás llevando a cabo una 2FA. Lo mismo si dicho código SMS es para acceder a tu correo electrónico, a tu cuenta de Amazon, etcétera.
De hecho, la 2FA mediante SMS es la más utilizada en la mayoría de casos, lo que puede llevar a situaciones surrealistas:
Activas 2FA para acceder a tu cuenta de correo y lo haces desde el móvil.
Te llega un SMS al móvil con el código a introducir.
Pulsas sobre él y automáticamente lo añade y valida el ingreso a tu correo.
Todo el proceso tiene lugar desde un único terminal y sin protección de por medio. Pulsando sobre el mismo SMS ya te valida de forma inmediata.
Otro caso:
Activas 2FA para acceder a tu cuenta de correo y lo haces desde el Pc.
Te llega un SMS al móvil con el código a introducir.
Tú móvil no tiene cobertura o batería, está apagado, no lo encuentras…
NO puedes acceder.
Dicho esto, además de todos los problemas de seguridad que comporta, el uso de SMS es una alternativa a descartar de inmediato.
¿Qué hacemos entonces?
Pues seguir la recomendación de todos aquellos involucrados de alguna manera en el uso de 2FA: Aplicaciones de autentificación.
Aquí la cosa sube de nivel, tanto por tipo de protección, mecanismo utilizado y la abundante oferta de aplicaciones.
A grosso modo el funcionamiento básico es el siguiente:
Instalas la aplicación 2FA y añades las cuentas, servicios, webs, etcétera que desees segurizar.
Accede a alguna de tus cuentas, en ese momento te dirá que abras la aplicación (o lo hará de forma automática) y que bien, introduzcas el código (token) que acaba de generar o que valides mediante algún factor biométrico (huella, voz o rostro).
Vuelves al servicio, el cual ya debe estar accesible.
Obviamente, es un sistema muchísimo más confiable que el SMS, aunque seguimos atados al teléfono móvil.
Dentro de las aplicaciones de autentificación encontraremos bastantes diferencias entre ellas, en función de:
La forma de gestionar los tokens.
Para un solo dispositivo o varios.
Propietarias u Open Source.
Comentaremos algunas de ellas en una próxima entrada.
No activity yet